sabato, Dicembre 21, 2024

Milioni di siti WordPress a rischio: gravissimo bug del plugin SEO

Due vulnerabilità di sicurezza critiche e di elevata gravità nel popolarissimo plug-in SEO WordPress “All in One” hanno esposto oltre 3 milioni di siti Web ad attacchi di acquisizione.

I difetti di sicurezza scoperti e segnalati dal ricercatore di sicurezza di Automattic Marc Montpas sono un bug critico di Authenticated Privilege Escalation (CVE-2021-25036) e un’elevata gravità Authenticated SQL Injection (CVE-2021-25037).

Oltre 800.000 siti WordPress vulnerabili

Lo sviluppatore del plugin ha rilasciato un aggiornamento di sicurezza per risolvere entrambi i bug All in One il 7 dicembre 2021.

Tuttavia, secondo le statistiche di download  delle ultime due settimane dal rilascio della patch , più di 820.000 siti che utilizzano il plug-in devono ancora aggiornare la propria installazione  e sono ancora esposti ad attacchi.

Ciò che rende questi difetti altamente pericolosi è che, anche se per sfruttare con successo le due vulnerabilità è necessario autenticare gli attori delle minacce, hanno solo bisogno di autorizzazioni di basso livello come Abbonato per abusarne negli attacchi.

Abbonato è un ruolo utente predefinito di WordPress (proprio come Collaboratore, Autore, Editor e Amministratore), comunemente abilitato per consentire agli utenti registrati di commentare gli articoli pubblicati sui siti WordPress.

Sebbene gli abbonati siano in genere solo in grado di modificare il proprio profilo oltre a pubblicare commenti, in questo caso possono sfruttare CVE-2021-25036 per elevare i propri privilegi e ottenere l’esecuzione di codice remoto su siti vulnerabili e, probabilmente, assumerli completamente.

Data Download
2021-12-07 336738
2021-12-08 1403672
2021-12-09 68941
2021-12-10 45392
2021-12-11 31346
2021-12-12 26677
2021-12-13 35666
2021-12-14 34938
2021-12-15 72301
2021-12-16 28672
2021-12-17 24699
2021-12-18 18774
2021-12-19 17972
2021-12-20 25388
Totale 2171176

Gli amministratori di WordPress hanno esortato ad aggiornare al più presto

Come ha rivelato Montpas, aumentare i privilegi abusando di CVE-2021-25036 è un compito facile sui siti che eseguono una versione SEO All in One senza patch “cambiando un singolo carattere in maiuscolo” per ignorare tutti i controlli sui privilegi implementati.

“Questo è particolarmente preoccupante perché alcuni degli endpoint del plug-in sono piuttosto sensibili. Ad esempio, l’endpoint aioseo/v1/htaccess può riscrivere il file .htaccess di un sito con contenuti arbitrari”, ha spiegato Montpas.

“Un utente malintenzionato potrebbe abusare di questa funzione per nascondere backdoor .htaccess ed eseguire codice dannoso sul server.”

Si consiglia agli amministratori di WordPress che ancora utilizzano le versioni All In One SEO interessate da queste gravi vulnerabilità (tra 4.0.0 e 4.1.5.2) che non hanno già installato la patch 4.1.5.3 di farlo immediatamente.

“Ti consigliamo di verificare quale versione del plug-in SEO All In One sta utilizzando il tuo sito e, se rientra nell’intervallo interessato, aggiornalo il prima possibile”, ha avvertito il ricercatore una settimana fa.

ARTICOLI COLLEGATI:

ULTIMI ARTICOLI: